網絡支付與結算中的安全技術研究

摘 要： 在此通過分析電子商務的安全現狀以及危害電子商務中在線支付安全的主要因素，從網絡安全的角度，為了保證在線支付的安全和不可抵賴性，使電子商務在日常生活中成為人們依賴的交易平臺。設計了基于指紋識別和數字認證的網絡在線支付身份認證系統，在理論上給出了系統的拓撲結構、軟件結構和整個系統的工作流程。該文支付系統把指紋識別和數字認證統一起來，使電子商務平臺成為一個可靠、安全的交易平臺，大大提高了電子商務的安全性，為人們的日常生活提供了有力的保障。

關鍵詞： 電子商務； 網絡安全； 安全技術； 指紋識別

中圖分類號： TN919?34； TP393.18 文獻標識碼： A 文章編號： 1004?373X（2013）20?0074?05

0 引 言

隨著信息技術的飛速發展和互聯網技術的全面普及，人們進行商務活動的模式也逐漸轉向基于Internet開展的電子商務模式。越來越多的人意識到電子商務的高效便捷，電子商務目前正處于高速發展期，但發展中暴露的問題也日益凸顯，比如網絡支付安全問題。這也是人們在交易中最為關心的一個問題。為了確保整個電子交易過程中信息的安全性，建立一個安全、便捷的網絡支付應用環境已經成為在電子商務應用中所關注的重要技術問題[1]。

據權威機構調查表明，目前國內企業發展電子商務的最大顧慮是網上交易的安全問題。因此，信息的安全是當前發展電子商務最迫切需要研究和解決的問題。Internet之所以能發展成為今天的全球性網絡，主要是依賴于它的開放性。但是，這種開放式的信息交換方式使其網絡安全具有很大的脆弱性。而安全問題是影響電子商務發展的主要因素之一。正是基于此，研究在信息化環境下的網絡支付與結算中的安全問題就變得非常迫切和重要了[2]。

1 電子商務的定義

人們通常把基于Internet平臺進行的商務活動統稱為電子商務，英文Electronic Commerce ，簡寫為E?commerce。從狹義上理解，電子商務就是企業通過業務流程的數字化、電子化與網絡化實現產品交易的手段。從廣義上理解，電子商務泛指基于Internet 的一切與數字化處理有關的商務活動。因此它不僅僅是通過網絡進行的商品或勞務買賣活動，還涉及傳統市場的方方面面電子商務中的在線支付[3]。

1.1 電子商務的發展現狀

據聯合國貿發會議《2011電子商務發展報告》顯示，到2011年底，全球英特網用戶已達21億之眾。在中國，據中國互聯網信息中心（CNNIC）最新的調查報告顯示，截止2011年底，上網用戶已達到5.13億，互聯網普及率攀升至38.4%，而1997年10月首次調查結果只有62萬，十來年間增長了827倍；他們中的1.87億已是電子商務的消費者，已成全球最大的電子商務消費群體國，預計2015年將成全球最大的電子商務市場。另一方面，電子商務交易額快速增長，2002年全球電子商務交易額大約為2.3萬億美元，到2011年將突破40.6萬億美元。據《據2011年度中國電子商務市場報告》數據顯示，2011年，中國電子商務市場交易額達7萬億，同比增長46.4% 。預計2015年將達到26.5萬億。其中B2B電子商務交易額為6.02萬億，同比增長42.3%；網絡購物市場（主要為B2C，C2C）交易規模7 735.6億，較2010年增長67.8%， 網絡購物市場交易規模占社會消費品零售總額的比重從2010年的2.9%增至2011年的4.3%，2012年這一比重將突破5%，全球最大的電子商務市場美國的電子商務交易額在全美零售額中的比例約達9%，英國的比例達到12%，在中國互聯網用戶人均每月網絡消費則達260元，中國的增長空間巨大；2011年第三方支付達到22 038億，增長率為118.1%。當今世界，除電子商務市場以外，其他任何市場都難有如此高的增長率，因此，其市場遠景極為可觀[4]。

1.2 電子商務在線支付

（1）發展概況

Internet給整個社會帶來了巨大的變革，成為驅動所有產業發展的動力。電子商務是在Internet開放環境下的一種新型的商業運營模式，是網絡技術應用的全新發展方向；它把信息網絡、經濟網絡、物流網絡和金融網絡等多種網絡信息緊密的結合在一起；它把人們的商務活動和貿易活動的方方面面透過網絡連接在一起；它使得信息流、資金流能夠高效快捷的流動起來；它改變了現有的消費模式和服務模式，改變了人們的傳統思想觀念，而隨之而來的高效快捷的交易方式更是引起了人們極大的興趣。

但是在交易活動中，對交易信息的是否安全可靠越來越成為人們關注的焦點。在線交易的安全保證與否將成為其能否健康快速發展的關鍵所在[5]。

（2）在線支付

電子商務的主要特征是在線支付。實現電子商務的關鍵是在保證在線支付過程中的安全性。為了保證在線支付的安全，需要采用數據加密和身份認證技術，以便營造一種可信賴的電子交易環境。在線交易首先要驗證或識別參與交易活動的主體，比如商家、持卡消費者、授卡銀行和支付網關的身份（身份用數字證書表示），以及保證持卡人的信用卡號不會被盜用，這樣客戶才可以放心的在網上購物進行在線支付[6]。

1.3 電子商務的安全現狀

在現階段，電子商務安全主要來自于以下下幾個方面：首先是計算機網絡安全，包括計算機網絡設備安全、數據庫安全、網絡系統安全等。其目標是針對網絡本身可能存在的安全威脅，實施有效方案增強網絡安全，從而確保計算機網絡自身的安全性。其次是電子交易安全，基于計算機網絡安全，實現電子商務的完整性、保密性、可鑒別性、不可抵賴性和不可偽造性，進而保障電子商務過程的順利進行。主要包括以下幾個方面[7]：

（1）信息的截獲和竊取，如果沒有采取信息加密措施或者加密強度不夠，攻擊者可采用各種手段非法獲取用戶的機密信息。

（2）信息的篡改，電子的交易信息在網絡上傳輸的過程中，可能被他人非法修改，重放（指只能使用一次的信息被多次使用） 或刪除，從而使信息失去了完整性和真實性。攻擊者利用各種方式對網絡中的信息進行修改，然后發往目的地，破壞信息的完整性。通常采用的破壞手段有以下3種：

①篡改，即改變信息流的次序。

②刪除，即刪除某個消息或消息的其中某些部份。

③插入，即在消息中插入無用的信息，讓接收方讀不懂或者接收錯誤信息。

（3）信息假冒，攻擊者通過分析所掌握網絡信息數據的規律或對商務信息進行解密之后，冒充合法用戶或者發送虛假信息來欺騙用戶。其主要采用兩種方式：

①偽造電子郵件，比如虛開網店，給用戶發郵件，收訂貨單。

②冒充他人身份，比如假冒主機欺騙合法用戶。

（4）信息破壞，包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤；以及一些惡意程序的破壞而導致電子商務信息遭到破壞。

（5）信息泄密，主要包括兩個方面，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。

（6）身份識別，如果不進行身份識別.第三方就有可能假冒交易一方的身份，以破壞交易.敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等。而不進行身份識別，交易的一方可不為自己的行為負責任，進行否認，相互欺詐。計算機網絡安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網絡安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易安全保障，即使計算機網絡本身再安全，仍然無法達到電子商務所特有的安全要求。

1.4 網絡支付的安全因素

在用戶使用層面，業界普遍認為網上支付的安全性因素主要體現在以下三個特征上：

（1）信息的保密性（Confidentiality），能夠保證信息不會泄露給非授權的主體，只有授權用戶才能訪問系統中的信息，而限制其他人對計算機信息的訪問。保密性包括網絡傳輸中的保密和信息存儲保密等方面，保證支付信息與支付系統不被非授權者獲取或利用。

（2）數據完整性（Integrity），保證支付信息與支付系統真實、準確、數據的一致性，防止信息的非法修改。包括身份真實、數據完整和系統完整等方面。

（3）身份的可識別性（Validation）。能夠鑒別通信主體身份的真實性，保證交易雙方的身份可以識別和確認，未授權的用戶不能進行交易，并且不會拒絕合法主體對系統資源的正當使用。

從支付安全的發展現狀來看，分析用戶網上支付主要出現的安全問題，由技術系統導致的風險相對較少，更多的問題主要集中在相對缺乏防御技術保障的用戶端層面。如被釣魚網站欺騙，受木馬程序竊取密碼、虛假銀行網站套取用戶信息等，破壞了信息的保密性、數據的完整性和身份的可識別性，從而產生相應的安全問題[8]。

2 基于指紋識別和數字認證的網絡身份認證技術

2.1 指紋識別技術

指紋識別學是一門古老的學科，它是基于人體指紋特征的相對穩定與惟一，這一統計學結果發展起來的。生物特征識別是一個引人注目的問題，它是證明個人身份的根本方法，也被認為是最好的生物認證方法。眾所周知，世界上沒有兩片完全相同的樹葉，人間沒有兩枚完全相同的指紋。

因而，指紋是一種隨身攜帶的特殊“印章”，正因其“人有各異，終身不變，不怕丟失，銘記在身”的特點，被世界公認為個人身份識別中最可靠的依據。指紋識別技術不僅免除了人們記憶密碼、預留印鑒的煩惱，而且方便快捷，只需手指輕輕一按，立即便可完成身份鑒別[9]。

2.2 指紋識別原理[10]

（1）集?。–apture）：首先利用指紋掃描器，將指紋的圖形及其他相關特征集取下來。

（2）演算（Algorithm）：將圖形及相關特征，運用程式運算及統計，找出該指紋具有所謂“人人不同且終身不變的特性”的相關特征點，并將之數位化，該數位化之數據自然仍 具有指紋人人不同且終身不變的特性。

（3）傳送（Transmit）：將數位化的指紋特征在電腦上運用各種方式傳送，不論其傳送方式 或加解密方式，均仍保留該特有的特性。

（4）驗證（Verify）：傳送過來的數據再經程式運算、驗證其與資料庫中的比對資料的相似程度，達到一定程度以上的統計相似度，因其差異在某種極低的機率以下，即可代表這是由本人傳送過來的指紋數據。故只要符合上述原理，中間無任何種轉換上的漏失，且在一定的比對值以上，均可確認是本人的指紋。

2.3 指紋識別的優點

（1）識別速度最快，應用最方便；

（2）推廣容易、應用最為廣泛、適應能力強；

（3）誤判率和拒真率低；

（4）穩定性和可靠性強；

（5）易操作，無需特殊培訓既可使用；

（6）安全性強，系統掃描對身體無害；

（7）指紋具備再生性；

（8）可持續的發展性。

2.4 指紋識別的過程

指紋識別的過程，包括兩個子過程4個階段點。兩個子過程是指紋注冊過程和指紋識別過程。指紋注冊過程包括四個階段，分別是指紋采集、指紋圖像處理、指紋特征值提取及建立指紋模板庫。指紋識別的過程也經過四個階段，分別是指紋采集、指紋圖像處理、指紋特征值提取和指紋特征值匹配。指紋圖像處理在兩個子過程中是相同的。但指紋采集和指紋特征值提取，雖然名稱相同，但內部算法流程是有區分的。在指紋注冊過程中的指紋采集，其采集次數要多。并且其特征值提取環節的算法也多一些對特征點的歸納處理步驟。識別過程如圖1所示。在計算機處理指紋時，只是對指紋的一些關鍵的信息進行匹配，其結果并不是100%的準確。

指紋識別系統的特定應用的重要衡量指標是識別率。主要有兩部分組成：拒真率和誤識率。兩者成反比，用0～1.0或百分比來表達這個數。

2.5 系統的拓撲結構

系統的拓撲結構如圖2所示。

（1）身份認證服務器：即身份認證的處理端，主要負責認證匹配，即根據認證算法最終決定是否通過認證；負責處理身份認證過程中所需的各種信息和數據；分析認證記錄，實現對網絡的全局監控，提供正常或異常的操作警告及報告；建立、管理和維護指紋庫。

（2）用戶端：負責獲取用戶的相關信息和采集初始數據，提取指紋特征值，并將用戶信息與指紋特征值加密，然后傳送到身份認證服務器。

（3）業務服務器：主要負責完成相關業務操作，根據具體應用領域安裝對應的業務應用模塊。

用戶必須通過信息和指紋進行身份認證來實現訪問業務服務器的相關信息資源。第一步，用戶輸入信息進行系統登錄，根據指紋采集設備采集到的用戶指紋數據，在用戶端進行指紋數據處理，獲得指紋特征值。第二步，將用戶信息與其指紋特征值傳送至身份認證服務器，身份認證服務器從數據庫取出該用戶的指紋模板與用戶端傳來的指紋特征值進行匹配，若匹配成功則允許用戶進行業務操作，否則禁止該用戶進行操作。

從以上步驟可知，身份認證的操作是在服務器端完成的，在操作過程中需要通過網絡進行信息傳輸。而在傳輸過程中，用戶的身份認證信息就有可能會被竊取或破壞，為了確保用戶的身份認證信息安全到達服務器，就需在信息傳輸之前對身份認證信息進行加密處理。

2.6 系統的結構設計

整個系統結構如圖3所示。系統采用標準的數字認證技術和指紋識別技術相結合的策略，用指紋作為身份認證地關鍵標示。并采用目前國際上采用的在線支付標準SET 安全電子交易協議為參照，組建電子商務支付平臺。

基于指紋的電子商務身份認證系統與已經廣泛使用的指紋鎖和指紋登錄系統等應用在系統結構和認證方式上有很大不同。在一般的應用情況下，指紋圖像或模板實現存入本地指紋模板庫，在使用時用戶經指紋儀讀入指紋圖像，經處理后在本地匹配，匹配的結果決定用戶是否合法。在網絡環境下（B/S結構），用戶（客戶端）如果要訪問遠程服務器所管理的信息資源，在獲得相關資源訪問權限之前，必須通過指紋身份認證，所有的信息資源訪問權限都在身份認證系統（服務器端）管理之下，未通過身份認證的用戶不能訪問信息資源。為增強系統安全性，在客戶端和服務器之間傳輸的所有數據包括指紋模板、用戶的訪問請求、服務器的反饋信息都經過加密。同時，指紋模板及相關的用戶認證、注冊信息都保存在一個本地安全數據庫中，此數據庫只有本地進程能訪問，以防用戶信息泄漏[11]。

當模板內置于服務器時，通過客戶端的指紋傳感器獲得用戶的指紋信息，該信息被加上數字簽名后傳送到服務器，在服務器首先校驗簽名是否有效，再與預先注冊的模板進行比較，并完成身份認證。

整個系統分為 4部分：

用戶端：在用戶終端上配有專用的業務軟件負責業務信息及用戶隱私信息的收集、管理及與銀行服務器的通信；

數字認證：在用戶端負責將提取到用戶ID和指紋特征值進行加密處理，在服務器端負責對傳輸到服務器的已加密的身份認證信息進行解密處理，保證用戶身份認證信息在網絡上安全傳輸。

前置主機：用以完成多用戶端與銀行服務器的會話管理及認證管理，驗證指紋及用戶相關數字憑據，并且充當銀行服務器的防火墻。

身份認證端：負責根據用戶ID和指紋特征值進行用戶身份認證，負責認證信息管理及認證記錄分析。銀行在完成業務時將回執返回給客戶[12]。

2.7 基本工作流程

整個身份認證及支付系統以SET協議為參考，基本工作流程如圖4所示。可分為私有密鑰索取、信息發送、回執返回3個階段。

3 結 語

本文提出了一種采用指紋識別與數字加密相結合的方法，實現網絡身份認證在線支付的系統方案。使安全性比單獨使用指紋或數字加密更高。當然任何的網絡支付安全技術都不能保證100%的安全，為了更好的加強支付與結算的安全性，還必須有值得信賴的第三方支付平臺來支持，并且把電子商務的相關法律落實到實處。電子商務發展趨勢必然勢不可擋，相信只要從立法和技術及觀念等方面完善，一定會建立和諧的電子商務環境。

參考文獻

[1] 柯新生.網絡支付與結算[M].北京：電子工業出版社，2004.

[2] 毛幼菊，陸音.基于指紋識別和數字認證的網絡商務系統[J].計算機工程，2003（3）：15?17.

[3] 吳教育，曾東海.基于指紋識別的網絡身份認證系統計[J].計算機技術與發展，2007（10）：63?65.

[4] 楊晉.現代電子商務安全技術研究[J].網絡安全技術與應用，2007（7）：90?93.

[5] 闞曉初.淺談電子商務安全策略與技術[J].商場現代化，2007（3）：13?15.

[6] 劉穎.電子商務網上支付與安全[J].天津職業院校聯合學報，2001（1）：30?32.

[7] 肖為.電子商務中的電子支付系統安全機制研[D].重慶：重慶大學，2004.

[8] 蔣贊贊，陳榮華，朱光宇，等.電子支付系統分析與比較[J].計算機工程，2000（11）：61?63.

[9] YANG J， PAPAZOGLOU M. Interoperation support for electronic business [J].Communications of the ACM， 2000， 43（6）： 39?47.

[10] SPILLAR Peter， LOHSE G L.A classification of Internet retail stores [J].Intemational Jounal of Electronic Commerce， 1997， 2（2）： 29?56.

[11] West Lawrellce A， Jr.Electronic markets and electronic governments [J]. Internetional Journal of Electronic Commerce， 1997， 2（2）： 5?28.

[12] 范紅，馮登國.安全協議理論與方法[M]北京：科學出版社，2003.